你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Defender 漏洞管理对 Docker Hub 外部注册表进行漏洞评估
Defender for Containers 安全解决方案的一个关键方面是在从代码开发到云部署的整个生命周期中提供容器映像漏洞评估。
为了实现这一目标,需要对容器映像生命周期的所有阶段进行全面覆盖,包括来自外部注册表的容器映像。 此功能支持被企业、中小企业和开源社区广泛使用的 Docker Hub。 使用 Docker Hub 的客户可以使用 Defender for Containers 进行清单发现、安全状况评估和漏洞评估,享受与 ACR、ECR 和 GCR 等云原生注册表相同的安全功能。
功能
清单 - 标识并列出 Docker Hub 组织内所有可用的容器映像
漏洞评估 – 定期扫描 Docker Hub 组织帐户,以查找支持的容器映像,识别漏洞,并为要解决的问题提供建议。
先决条件
若要将 Microsoft Defender for Containers 与组织 Docker Hub 帐户配合使用,你必须拥有一个 Docker Hub 组织帐户,并具有管理用户的管理员权限。 有关详细信息,请参阅如何将 Docker Hub 设置为外部注册表
在 Microsoft Defender for Cloud 中为至少一个订阅启用 Microsoft Defender for Containers 或 Defender for CSPM
加入 Docker Hub 环境
在 Microsoft Defender for Cloud 中具有安全管理员权限的个人可以添加新的 Docker Hub 环境,前提是他们在“环境设置”页上具有必要的权限。
每个环境对应一个不同的 Docker Hub 组织。 用于添加新外部注册表的加入接口允许用户将容器注册表的类型指定为分类为“Docker Hub”的新环境。
环境向导将协助你完成加入过程:
连接器详细信息
连接器名称:指定唯一的连接器名称。
位置:指定 Defender for Cloud 存储与此连接器关联的数据的地理位置。
订阅:为 Docker Hub 环境定义 RBAC 作用域和计费实体的主机订阅。
资源组:用于 RBAC 目的
注意
只有一个订阅可以链接到 Docker Hub 环境实例。 但是,此实例中的容器映像可以部署到受 Defender for Cloud 保护的多个环境中,这些环境位于相关订阅的边界之外。
扫描间隔:以小时精度设置容器注册表重新扫描间隔。
选择计划
针对这类环境存在多种计划:
基础 CSPM:基本计划适用于所有客户,仅提供清单功能。
容器:提供清单和漏洞评估功能。
Defender CSPM:提供清单和漏洞评估功能,以及攻击路径分析和代码到云映射等额外功能。
有关计划定价的信息,请查看 Microsoft Defender for Cloud 定价。
确保 Docker Hub 环境计划与云环境计划同步,并共享相同的订阅,以最大限度地提高覆盖率。
配置访问权限
若要在 Defender for Cloud 和 Docker Hub 组织之间保持持续且安全的链接,请确保你有一个具有组织电子邮件地址的专用用户。 每个 Docker Hub 连接器对应于一个 Docker Hub 组织。 因此,在 Defender for Cloud 中为你管理的每个 Docker Hub 组织加入单独的 Docker Hub 环境连接器,以实现容器软件供应链的最佳安全覆盖。
按照如何将 Docker Hub 设置为外部注册表中的步骤,准备 Docker Hub 组织帐户以进行集成。
从 Docker Hub 用户提供这些参数以建立连接。
组织:Docker Hub 组织名称
用户:分配的 Docker Hub 用户名
访问令牌:Docker Hub 用户只读访问令牌
审阅并生成
在加入最终完成之前,请查看所有配置的连接器详细信息。
验证连接
验证连接是否成功,并在环境的设置屏幕上显示“已连接”。
验证特性功能
Docker Hub 在加入后一小时内启动容器注册表扫描:
清单 – 确保 Docker Hub 连接器及其安全状态显示在“清单”视图中。
漏洞评估 – 确保你收到建议“(预览版)Docker Hub 注册表中的容器映像应已解决发现的漏洞”,以解决Docker Hub 容器映像中的安全问题。
